개 인 정 보
홍길동 출근 ~( 교통카드, CCTV) 이름, 계좌, 카드번호, 영상 오늘의이슈?(SNS) ID, PW, 사진, 동영상, 빅데이터 사무실출입 ( 전자카드 ) 이름, 직번 점심식사 ( 신용카드, 포인트카드 ) 이름, 계좌, 연락처, 위치정보 업체와회의 ( 명함교환 ) 이름, 전화번호, 핸드폰번호, 이메일 일하자!( 그룹웨어 ) ID, PW, 인터넷이용기록
주가가올랐나?( 스마트폰 ) ID, PW, 이름, 계좌 어머님생신?!..( 온라인쇼핑 ) ID, 신용카드, 주소, 연락처 병원에잠깐..( 의료기관 ) 의료보험번호, 이름, 병명, 진료기록 모든생활에개인정보연관 퇴근후동창회관리 ( 회원명부 ) 이름, 연락처, 전공, 졸업년도 사랑하는가족곁으로 ( 아파트출입카드, CCTV) 이름, 동호수, 연락처
성명, 주민번호등을통하여살아있는개인을알아볼수있는정보 다른정보와용이하게결합하여개인을알아볼수있는정보 처리되는정보에의해알아볼수있는그정보의주체가되는사람 업무를목적으로개인정보파일을운용하기위하여스스로또는다른사람을통하여개인정보를처리하는공공기관, 법인, 단체, 개인등 개인정보의처리에관한업무를총괄해서책임지거나업무처리를최종적으로결정하는자 개인정보처리자의지휘, 감독을받아개인정보를처리하는임직원, 파견근로자, 시간제근로자등
개인정보를쉽게검색할수있도록일정한규칙에따라체계적으로 배열하거나구성한개인정보집합물 개인정보를처리할수있도록체계적으로구성한 데이터베이스시스템 물리적망분리, 접근통제시스템등에의해인터넷구간에서의 접근이통제또는차단되는구간 개인정보취급자등이개인정보처리시스템에접속하여수행한업무내역에대하여식별자, 접속일시, 접속지를알수있는정보, 수행업무등접속한사실을전자적으로기록한것 불특정다수가선접속장치 (AP) 를통하여인터넷을이용할수 있는망
유출, 침해의초대량화 개인정보대량집적에따라유출사고도초대량화 (1~2천만건) 전국민의개인정보가유출대상인시대 개인정보취급분야확대 기존의정보통신업외에기타사업분야, 비영리단체분야에서도문제발생가능 개인정보보호 새로운기술환경 정보주체의인식변화 스마트폰, 클라우드컴퓨팅, CCTV, 위치정보, 빅데이터등새로운기술에기반한개인정보보호이슈발생 이용자들의집단소송, 민원의지속적증가법원에서도이용자들의적극적인권리행사를인정
개인정보침해신고및상담접수 200,000 100,000 0 25,965 39,811 35,167 54,832 166,801 122,215 2007 2008 2009 2010 2011 2012
타법률에특별한규정없는경우 개인정보보호법에따름 의료법등 의료 신용정보의이용및보호에관한법률 타법률에특별한규정있는경우 해당법률규정에따름 ( 정보통신망법, 신용정보법, 의료법, 전자금융거래법, 고등교육법, 보험업법등 ) * 다른법률의규정이개인정보보호법보다보호수준이다른경우 해당조문별로개별법적용 교육 초 / 중등교육법등 분야별개별법 정보통신 개인정보보호법 금융 / 신용 정보통신망이용촉진및정보보호등에관한법률
법시행이전분야별개별법이있는경우에한해개인정보보호의무적용 ( 약 51만 ) - 공공기관 : 공공기관개인정보보호법 - 신용정보제공 이용자 : 신용정보법 - 정보통신서비스제공자 : 정보통신망법 - 여행사, 백화점등준용사업자 : 정보통신망법 법시행이후적용대상 : 공공 민간부문의모든개인정보처리자 - 포털, 금융기관, 병원, 학원, 제조업, 서비스업등 360만사업자 - 부처, 지자체, 공사, 공단, 학교등 20만공공기관 적용범위 : 전자파일외에동창회명부, 민원서류, 이벤트응모권등수기문서포함 법적용일부제외 ( 법 58 조 ) 동창회, 동호회등친목도모단체의개인정보처리는개인정보수집이용 ( 법제 15 조 ), 개인정보처리방침 ( 법제 30 조 ), 개인정보보호책임자지정 ( 법제 31 조 ) 적용제외
행자부 교육부 교육분야
심의의결사항 정부의개인정보보호기본계획과각부처의시행계획 개인정보보호관련정책, 제도및법령의개선 개인정보의처리에있어서공공기관간의의견조정 개인정보보호에관한법령의해석과운용 공공기관의개인정보침해등에대한시정조치권고 기타관계법령과기관에서위임한사항등 개인정보보호에대한연차보고서작성과국회보고 대통령, 위원장및위원 2인이상이제기한사항
정보주체의별도동의를받은경우에도주민번호를포함한고유식별정보처리가능 ( 법 24 조 ) - 다른개인정보의처리에대한동의와별도로동의를받은경우 - 법령에서구체적으로고유식별정보의처리를요하거나허용하는경우 법 24 조의 2 신설, 주민번호에한하여정보주체의동의를통한수집도금지 - 법령에서구체적으로주민번호처리를요구, 허용하는경우 - 정보주체또는제 3 자의급박한생명, 신체, 재산의이익을위하여명백히필요하다고인정되는경우 - 기타행정자치부령으로정하는경우 불필요한주민번호수집관행이근절되도록근거법령일제정비추진 - 주민번호요구법정서식정비등관행적인주민번호수집근절
주민번호수집, 이용원칙적금지 : 미수집또는대체수단도입등 불가피한경우법령근거마련및필요최소한이용
직원채용시주민번호처리 사례 근로계약체결위해주민번호처리 검 토 1. 주민번호처리법령근거유무 2. 불가피성유무 법령근거있음 국민건강보험법등에근거하여 4 대보험가입위한경우, 근로기준법제 42 조및시행령제 22 조에따라 임금대장 작성시, 소득세법상소득세원천징수위하여임직원의주민번호처리근거명시적규정 불가피성있음 근로계약의체결단계에서직원주민번호처리는불가피 조치사항 별도조치불필요 ( 현행유지 ) 채용시최종합격자에한하여주민번호처리가능입사지원단계에서는생년월일등으로대체
법정손해배상제도와징벌적손해배상제도도입 ( 제 39 조, 제 39 조의 2) < 양제도비교및도입방안 > 구분법정손해배상제도징벌적손해배상제도 적용요건 입증책임 기업의고의 과실로개인정보가분실 도난 유출된경우 기업이고의 과실없음을입증피해자에대한피해액입증책임면제 기업의고의 중과실로개인정보유출또는동의없이활용하여피해발생 기업이고의 중과실없음을입증피해액은피해자가입증 구제범위사실상피해입증이어려운정신적피해재산및정신적피해모두포함 배상규모 300 만원이하의범위에서상당한금액실제피해액의 3 배이내배상 적용시기 개정법시행이후유출사고
주민번호등고유식별정보는아래의경우의무적암호화 - 정보통신망을통하여송 수신하거나보조저장매체등을통하여전달하는경우 - 인터넷구간및인터넷구간과내부망의중간지점에저장하는경우 - 업무용컴퓨터또는모바일기기에저장하여관리하는경우 개인정보위험도분석결과에따라암호화여부및수준을선택적적용가능 주민번호는보관시의무적암호화조치하여야함 ( 제 24 조의 2 제 2 항 ) - 100만명미만주민번호보관 : 16.12.31. 까지암호화 ( 17.1.1. 적용 ) - 100만명이상주민번호보관 : 17.12.31. 까지암호화 ( 18.1.1. 적용 ) 주민번호암호화조치미이행시 3천만원이하의과태료부과
1. 정보주체의동의를받은경우 동의획득시고지사항 수집 이용목적, 수집항목, 보유 이용기간, 동의거부권과동의거부시불이익 2. 법률의특별한규정, 법령상의무준수 3. 공공기관이법령에서정한소관업무수행 4. 정보주체와의계약체결및이행 5. 정보주체등의급박한생명, 신체, 재산의이익보호 6. 개인정보처리자의정당한이익달성
1. 정보주체의동의를받은경우 동의수집시고지사항 1 수집 이용목적 2 수집항목 3 보유 이용기간 4 동의거부권리및동의거부시불이익내용 2. 법률의특별한규정, 법령상의무준수를위해불가피한경우 3. 공공기관이법령에서정한소관업무를위해불가피한경우 4. 정보주체와의계약체결이행에불가피한경우 5. 정보주체등의급박한생명, 신체, 재산의이익보호 6. 개인정보처리자의정당한이익달성을위해필요한경우 1. 정보주체의동의를받은경우 2. 법률의특별한규정, 법령상의무준수를위해불가피한경우 3. 공공기관이법령에서정한소관업무를위해불가피한경우 4. 정보주체등의급박한생명, 신체, 재산의이익보호 1. 정보주체의별도동의를받은경우 2. 다른법률의특별한규정 3. 명백히정보주체또는제3자의생명, 신체, 재산의이익에필요한경우 4. 통계작성및학술연구목적에필요한경우로특정개인을알아볼수없는형태로제공하는경우 < 공공기관만해당 > 5. 개인정보를목적외로이용하거나제3자에게제공하지않으면다른법률에서정하는소관업무수행불가한경우로보호위원회의심의 의결을거친경우 6. 조약, 국제협정이행을위해외국정부등제공에필요한경우 7. 범죄수사및공소제기 유지 8. 법원의재판업무수행 9. 형및감호, 보호처분집행
개인정보를제공받는자에게이용목적, 이용방법그외필요사항에대한제한및개인정보안전성확보조치마련요청 - 개인정보를제공받는자는개인정보안전성확보조치이행 공공기관이행사항 - 개인정보이용및제공관련법적근거, 목적및범위관련사항을관보또는인터넷홈페이지게재 - 개인정보목적외이용및제 3 자제공대장기록 관리
주민등록번호처리제한 < 개인정보보호법개정 시행 2014. 8. 7) > 예외 ) 1 법령에서구체적으로주민등록번호의처리를요구또는허용한경우 2 정보주체또는제 3 자의급박한생명, 신체, 재산의이익을위한경우 3 행정자치부령으로고시하는경우
개인을분별하여알아보는것 성명 ( 유일한경우 ), 주민등록번호, 이메일주소, 전화번호등과같이그자체로 특정개인을직접식별할수있는데이터 연령, 성별, 거주지역, 국적등과같이해당데이터만으로는직접적으로특정 개인을식별할수없지만, 다른정보와결합하여개인을식별할수있는데이터 정보의일부또는전부를삭제 대체하거나다른정보와쉽게결합하지 못하도록하여특정개인을알아볼수없도록하는일련의조치 비식별화조치의궁극적인상태로, 개인에대한재식별이더이상불가능한 상태 비식별화한개인정보를다른정보또는데이터와비교, 연계, 결합등을통해 특정개인을알아볼수있도록하는일련의조치
위탁계약목적 위탁업무목적및범위 재위탁제한 안전성확보조치 ( 기술적, 관리적보호조치 ) 처리금지 개인정보가분실, 도난, 유출, 변조또는훼손되지않도록 정기적으로수탁자를교육 손해배상 관리현황점검등감독 표준개인정보처리위탁계약서 ( 안 ) 은개인정보보호종합포털 (privacy.go.kr) 의자료실에서확인가능 수탁자가개인정보를안전하게처리하는지정기적으로감독 - 개인정보처리현황및실태, 목적외이용및제공, 재위탁여부, 안전성확보조치여부등
제 3 자제공 ( 법제 17 조, 제 18 조 ) 위탁 ( 법제 26 조 ) 처리목적 제공받는자의이익 / 목적 제공하는자의이익 / 목적 관리범위 제공받는자의책임 제공하는자의책임 예시
1. 법령에서구체적으로허용하고있는경우 2. 범죄의예방및수사를위하여필요한경우 3. 시설안전및화재예방을위하여필요한경우 4. 교통단속을위하여필요한경우 5. 교통정보의수집 분석및제공을위하여필요한경우 목욕탕 화장실 탈의실등사생활침해우려가현저한장소에영상정보처리기기설치 운영금지 - 다만, 교도소, 정신보건시설등대통령령으로정하는시설은적용제외
통지대상 : 1건이라도개인정보유출시, 정보주체에게유출관련사실을통지 통지시기 : 5일이내 통지방법 : 서면, 전자우편, 전화, SMS, 인터넷사이트등 - 1만명이상의개인정보가유출된경우, 서면등의방법과함께인터넷홈페이지에 7일이상게재 통지내용 : 유출된개인정보의항목, 유출시점과그경위, 정보주체의피해구제방법, 대응조치 피해구제절차, 담당부서 연락처등 신고대상 : 1만명이상의정보주체에관한개인정보가유출된경우 신고기관 : 행정자치부, 전문기관 ( 한국인터넷진흥원 ) 신고시기 : 5일이내 ( 정보주체에대한통지및조치결과신고 ) 신고방법 : 전화, 전자우편, 팩스, 인터넷사이트 신고내용 : 기관명, 유출된개인정보항목 규모, 유출시점 경위, 유출피해최소화대책 조치및결과, 피해구제절차, 담당부서 담당자연락처등
정보주체이외로부터수집한개인정보를처리하는경우, 정보주체의요구가 있으면수집출처등을고지 ( 법제 20 조 ) - 일정규모이상의개인정보처리자는정보주체에게수집출처고지의무 개인정보의항목, 수집이용목적, 보유기간, 제 3 자제공현황, 개인정보 처리에대하여동의한사실및내용 열람요구시 10 일이내에정보주체가해당개인정보를열람할수있도록조치 1. 개인정보의수집출처 2. 개인정보의처리목적 3. 개인정보처리의정지를요구할권리가있다는사실 열람요청기간내에열람할수없는정당한사유가있을때는, 정보주체에게그사유를알리고열람연기 ( 사유소멸시지체없이열람 )
< 개인정보침해신고센터업무 > ( 법제 62 조제 3 항 ) 1) 개인정보처리와관련한신고의접수, 상담 2) 사실의조사, 확인및관계자의의견청취 3) 위의업무에딸린업무
< 집단분쟁신청대상 > ( 영제 52 조 ) 1) 피해또는권리침해를입은정보주체수가 50 명이상 2) 사건의중요한쟁점이사실상, 법률상, 공통
감사합니다